Directivas de acceso basadas en riesgos

Las directivas de control de acceso se pueden aplicar para proteger a las organizaciones cuando se detecta que un inicio de sesión o un usuario están en riesgo. Estas directivas se denominan directivas basadas en riesgos.

El acceso condicional de Azure AD ofrece dos condiciones de riesgo: Riesgo de inicio de sesión y Riesgo del usuario. Las organizaciones pueden crear directivas de acceso condicional basadas en riesgos mediante la configuración de estas dos condiciones de riesgo y la elección de un método de control de acceso. Durante cada inicio de sesión, Identity Protection envía los niveles de riesgo detectados al acceso condicional y las directivas basadas en riesgos se aplicarán si se cumplen las condiciones de directiva.

Diagrama que muestra una directiva de acceso condicional basada en riesgos conceptual.

Por ejemplo, como se muestra en el diagrama siguiente, si las organizaciones tienen una directiva de riesgo de inicio de sesión que requiere autenticación multifactor cuando el nivel de riesgo de inicio de sesión es medio o alto, sus usuarios deben completar la autenticación multifactor cuando el riesgo de inicio de sesión es medio o alto.

Diagrama que muestra una directiva de acceso condicional basada en riesgos conceptual con automediación.

En el ejemplo anterior también se muestra una ventaja principal de una directiva basada en riesgos: corrección automática de riesgos. Cuando un usuario completa correctamente el control de acceso necesario, como un cambio de contraseña seguro, se corrige su riesgo. Esa sesión de inicio de sesión y la cuenta de usuario no estarán en riesgo y no se necesita ninguna acción del administrador.

Permitir que los usuarios corrijan automáticamente mediante este proceso reducirán significativamente la carga de investigación y corrección de riesgos para los administradores a la vez que protegen a las organizaciones frente a riesgos de seguridad. Puede encontrar más información sobre la corrección de riesgos en el artículo Corrección de riesgos y desbloqueo de usuarios.

Directiva de Acceso condicional basado en el riesgo de inicio de sesión

Durante cada inicio de sesión, Identity Protection analiza cientos de señales en tiempo real y calcula un nivel de riesgo de inicio de sesión que representa la probabilidad de que la solicitud de autenticación determinada no esté autorizada. A continuación, este nivel de riesgo se envía al acceso condicional, donde se evalúan las directivas configuradas de la organización. Los administradores pueden configurar directivas de acceso condicional basadas en riesgos de inicio de sesión para aplicar controles de acceso en función del riesgo de inicio de sesión, incluidos los requisitos como:

  • Bloquear acceso
  • Permitir acceso
  • Requiere autenticación multifactor

Si se detectan riesgos en un inicio de sesión, los usuarios pueden realizar el control de acceso necesario, como la autenticación multifactor, para corregir y cerrar el evento de inicio de sesión de riesgo para evitar ruido innecesario para los administradores.

Captura de pantalla de una directiva de acceso condicional basada en riesgos de inicio de sesión.

Nota

Los usuarios deben haberse registrado previamente para Azure AD Multifactor Authentication antes de desencadenar la directiva de riesgo de inicio de sesión.

Directiva de acceso condicional basadas en riesgos de usuario

Identity Protection analiza las señales sobre las cuentas de usuario y calcula una puntuación de riesgo en función de la probabilidad de que el usuario se haya puesto en peligro. Si un usuario tiene un comportamiento de inicio de sesión arriesgado o se han filtrado sus credenciales, Identity Protection usará estas señales para calcular el nivel de riesgo del usuario. Los administradores pueden configurar directivas de acceso condicional basadas en riesgos de usuario para aplicar controles de acceso en función del riesgo de iusuario, incluidos los requisitos como:

  • Bloquear acceso
  • Permitir el acceso, pero requerir un cambio de contraseña seguro.

Un cambio de contraseña seguro corregirá el riesgo del usuario y cerrará el evento de usuario de riesgo para evitar ruido innecesario para los administradores.

Directivas de Identity Protection

Aunque Identity Protection también ofrece una interfaz de usuario para crear una directiva de riesgo de usuario y una directiva de riesgo de inicio de sesión, se recomienda encarecidamente usar el acceso condicional de Azure AD para crear directivas basadas en riesgos para las siguientes ventajas:

  • Conjunto enriquecido de condiciones para controlar el acceso: el acceso condicional ofrece un amplio conjunto de condiciones, como aplicaciones y ubicaciones para la configuración. Las condiciones de riesgo se pueden usar en combinación con otras condiciones para crear directivas que cumplan mejor los requisitos de la organización.
  • Se pueden implementar varias directivas basadas en riesgos para dirigirse a diferentes grupos de usuarios o aplicar un control de acceso diferente para distintos niveles de riesgo.
  • Las directivas de acceso condicional se pueden crear a través de Microsoft Graph API y se pueden probar primero en modo de solo informe.
  • Administrar todas las directivas de acceso en un solo lugar en el acceso condicional.

Si ya tiene configuradas directivas de riesgo de Identity Protection, le recomendamos que las migre al acceso condicional.

Directiva de registro de Azure AD MFA

Identity Protection puede ayudar a las organizaciones a implementar Azure AD Multifactor Authentication (MFA) mediante una directiva que requiere registro al iniciar sesión. La habilitación de esta directiva es una excelente manera de asegurarse de que los nuevos usuarios de la organización se hayan registrado en MFA el primer día. La autenticación multifactor es uno de los métodos de corrección automática para los eventos de riesgo dentro de Identity Protection. La corrección automática permite que los usuarios realicen acciones por su cuenta para reducir el volumen de llamadas al departamento de soporte técnico.

Encuentre más información sobre Azure AD Multifactor Authentication en el artículo Cómo funciona: Azure AD Multifactor Authentication.

Pasos siguientes